skip to Main Content

ZRTP, VoIP cihazlarının SRTP kullanarak medya akışlarını (ses veya video) şifrelemek için anahtarları kabul etmesini sağlayan bir anahtar değişim protokolüdür. ZRTP, https://datatracker.ietf.org/doc/html/draft-zimmermann-avt-zrtp internet taslağında tanımlanmıştır.

ZRTP’nin yazarları bunu “Güvenli RTP için Medya Yolu Anahtar Anlaşması” olarak tanımlar. Bu, ZRTP uç noktalarının, SRTP şifreleme anahtarlarını oluşturmak için sinyal akışı yerine medya akışını kullandığı anlamına gelir. Diğer birçok anahtar değişim protokolü, ortam anahtarı değişimi için sinyal akışını (SIP veya H.323) kullanır. Bu yaklaşımın dezavantajı, anahtar değişiminin, sinyal akışını işleyen herhangi bir ara cihaz tarafından görülebilmesidir.

ZRTP’nin anahtar anlaşması için medya yolunu kullanması, medya anahtarlarının doğrudan arayan ve çağrı alıcısı arasında kararlaştırılmasını sağlar. Sonuç olarak, bu tuşlar herhangi bir ara sinyalizasyon cihazı tarafından görülmez. Bu, ZRTP’yi, ara cihazların sinyalleşmeyi işlediği ve arama gizliliğini sağlamanın gerekli olduğu ağlarda kullanım için ideal bir seçim haline getirir.

Anahtar Değişimi (Key Exchange)

ZRTP, daha sonra SRTP kullanarak medya akışlarını (ses veya video) şifrelemek için kullanılan şifreleme anahtarlarını güvenli bir şekilde kabul etmek için iki VoIP uç noktası için güvenli bir yöntem sağlamak üzere tasarlanmıştır. ZRTP, güvenli anahtar anlaşmasını mümkün kılan ve sertifika yönetimi veya diğer herhangi bir ön kurulum yükünü önleyen Diffie-Hellman algoritmasını kullanır. ZRTP, iki Diffie-Hellman varyantını, sonlu alanı ve eliptik eğriyi destekler. Ek olarak, ZRTP tarafından kabul edilen anahtarlar kısa ömürlüdür, yani arama sonunda atılırlar ve anahtar yönetimi ihtiyacını ortadan kaldırırlar.

Ortadaki Adam koruması (Man-in-the-Middle protection)

ZRTP, MitM saldırılarını hem tespit etmeye hem de önlemeye yönelik özellikler içerir. Şifreli iletişimlerde gizli dinlemenin klasik bir yöntemidir. Saldırgan iletişimi keser ve iki uç nokta arasında mesajlar iletir ve her birinin diğerine güvenli bir kanalı olduğuna inanmasını sağlar. ZRTP’nin MitM savunmaları, Kısa Kimlik Doğrulama Dizesi (SAS) ve Anahtar Sürekliliği kullanmayı içerir.

SAS, her ZRTP cihazının kullanıcı arayüzünde bir kelime çifti olarak görüntülenen bazı Diffie-Hellman değerlerinin kriptografik bir karmasıdır. Sözcükler PGP sözcük listesinden seçilir. Bu liste 65.356 farklı SAS değeri üretir. Kullanıcılar görüntülenen dizileri birbirlerine okuyarak karşılaştırırlar. Tespit edilmeden kalmak için bir MitM saldırganının doğru SAS’ı tahmin etmesi gerekir. Doğru tahmin etme şansı 65.536’da sadece 1’dir. Anahtar taahhüt, sonraki anahtar anlaşmalarda bazı temel materyalleri yeniden kullanarak başka savunmalar ekler. Bu özellik, ilk aramada herhangi bir arayan çifti arasında bir MitM’nin bulunması gerektiği anlamına gelir.

Son Kullanıcı Güvencesi

SAS, son kullanıcılara güvenli bir hatta sahip olduklarına dair değerli bir güvence sağlar. Kullanıcılar, anahtar değişiminin bir kelime çiftini okuma ve karşılaştırma konusunda güvenilir olduğundan emin olabilir.

Mobil Ağlarda ZRTP

ZRTP’nin anahtar anlaşma için medya akışını kullanması, ağ operatörlerinin sinyal protokolünü işlediği mobil ağlar için onu iyi bir seçim haline getirir. Symbian ve Windows mobil cep telefonları için çeşitli uygulamalar mevcuttur.

Geleneksel telefon için ZRTP/S (GSM / ISDN)

PrivateWave, Philip Zimmermann ile ortaklaşa, ZRTP’yi geleneksel telefon veri iletişimleri (GSM CSD, UMTS CSD, ISDN Veri araması, SAT CSD, vb.) dar bant kanalları (4800bps’den itibaren) üzerinde çalışacak şekilde genişletti.